CVE-2015-7645
CVE-2015-7645
Vexday Risk Score
83Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
Madurez del exploit
Prueba de concepto
Existe prueba de concepto pública, pero aún no automatizada.
CVSS 7.8EPSS 68.4%KEV simPoC públicaNuclei —Metasploit —Patch referenciado
Ciclo de vida
15 oct 2015Publicada en NVD
19 oct 2015PoC pública
03 mar 2022Explotación activa (CISA KEV)
Velocidad de armamento
4 díashasta el primer PoC
2331 díashasta explotación activa (KEV)
Armada rápidamente — los atacantes priorizaron esta vulnerabilidad. Corrige con urgencia.
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Adobe Flash Player tiene una vulnerabilidad que permite a los atacantes ejecutar código malicioso en su computadora al engañarlo para que abra un archivo Flash manipulado. Esta falla fue explotada en ataques reales en octubre de 2015.
Detalle técnico
Vulnerabilidad de ejecución remota de código en Adobe Flash Player (versiones 18.x-18.0.0.252, 19.x-19.0.0.207 en Windows/OS X; 11.x-11.2.202.535 en Linux) activada mediante archivo SWF malicioso. El ataque requiere interacción del usuario para abrir el archivo manipulado; la explotación exitosa resulta en ejecución de código arbitrario con privilegios del usuario.
Resumen generado y traducido por IA a partir de la descripción oficial.
Adobe Flash Player 18.x through 18.0.0.252 and 19.x through 19.0.0.207 on Windows and OS X and 11.x through 11.2.202.535 on Linux allows remote attackers to execute arbitrary code via a crafted SWF file, as exploited in the wild in October 2015.
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/aPoCs públicas encontradas — 3
cve_referencepacketstormsecurity.com/files/134009/Adobe-Flash-IExternalizable.writeExternal-Type-Confusion.htmlno verificadocve_referencewww.exploit-db.com/exploits/38490/no verificadoexploitdbwww.exploit-db.com/exploits/38490no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
Referencias
http://blog.trendmicro.com/trendlabs-security-intelligence/new-adobe-flash-zero-day-used-in-pawn-storm-campaign/http://lists.opensuse.org/opensuse-security-announce/2015-10/msg00015.htmlhttp://lists.opensuse.org/opensuse-security-announce/2015-10/msg00016.htmlhttp://lists.opensuse.org/opensuse-security-announce/2015-10/msg00017.htmlhttp://lists.opensuse.org/opensuse-security-announce/2015-10/msg00018.htmlhttp://packetstormsecurity.com/files/134009/Adobe-Flash-IExternalizable.writeExternal-Type-Confusion.htmlhttp://rhn.redhat.com/errata/RHSA-2015-1913.htmlhttp://rhn.redhat.com/errata/RHSA-2015-2024.htmlhttps://helpx.adobe.com/security/products/flash-player/apsa15-05.htmlhttps://helpx.adobe.com/security/products/flash-player/apsb15-27.htmlhttps://security.gentoo.org/glsa/201511-02https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2015-7645